Ein Beispielfall aus dem Jahr 2007: Die zuständige Datenschutzaufsichtsbehörde kontrolliert die Zweigstelle einer Bank. Es wird eine Anweisung vorgelegt, wonach Abfallpapier mit personenbezogenen Daten tagsüber in (offenen) Papierkörben zu sammeln ist. Diese Papierkörbe soll das Reinigungspersonal abends in verschließbare Container entleeren, die eine Aktenvernichtungsfirma abholt, wenn sie voll sind.
Die Kontrolle ergibt, dass die Papierkörbe auch in Bereichen stehen, die für Bankkunden zugänglich sind. Gleich beim ersten Griff in einen Papierkorb hielt der Mitarbeiter der Aufsichtsbehörde einen Auszug aus einer notariellen Beurkundung in Händen mit diversen Namen und Anschriften (Tätigkeitsbericht 2007 des ULD, S. 95,).
Der Fall weist einige typische Aspekte auf:
Personenbezogene Daten in Altpapier sind häufiger als vermutet ("gleich beim ersten Griff").
Die praktische Umsetzung einer Anweisung muss zwingend kontrolliert werden.
Mit organisatorischen Anweisungen ist es oft nicht getan. Es muss geprüft werden, ob eine Umsetzung überhaupt realistisch möglich ist ("Papierkorb im Kundenbereich").
Der Wille zu sparen (hier: kein Aufstellen von Aktenvernichtern "vor Ort") kann erheblichen Aufwand nach sich ziehen.
Vergleichbare Fälle gehören jedoch nach wie vor zum Alltag. Die Eingabe der Stichworte "altpapier skandal" in eine beliebige Internetsuchmaschine fördert stets mehrere Dutzend aktuelle Fälle zutage.
Rechtliche Bedeutung
Das Vernichten von Datenträgern ist rechtlich als Löschen der Daten anzusehen, die sich auf den vernichteten Datenträgern befunden haben (zum Begriff des Löschens siehe § 3 Abs. 4 Nr. 5 Bundesdatenschutzgesetz, BDSG). Datenträgervernichtung ist also Datenverarbeitung in Form des Löschens von Daten. Damit ist auf diesen Vorgang das BDSG insgesamt anwendbar. Das hat vor allem folgende Konsequenzen:
Bei der Durchführung der Vernichtung sind die Regelungen über technische und organisatorische Maßnahmen (§ 9 BDSG) zu beachten.
Werden Datenträger extern durch Dienstleister vernichtet, liegt ein Fall der Auftragsdatenverarbeitung vor (§ 11 BDSG). Damit ist eine schriftliche vertragliche Regelung zwingend.
Werden Daten auf Datenträgern Außenstehenden zugänglich, weil die Datenträger ungesichert gelagert sind, liegt eine unbefugte Datenübermittlung vor. Das kann zu einem Bußgeld führen (unbefugte Verarbeitung von Daten, § 43 Abs. 2 Nr. 1 BDSG).
Schon diese Konsequenzen zeigen, dass die Vernichtung von Datenträgern kein banaler Vorgang ist, sondern besondere Beachtung durch die verantwortliche Stelle und deren Datenschutzbeauftragten erfordert. Pannen in diesem Bereich schädigen – sobald sie öffentlich bekannt werden – nachhaltig den Ruf der verantwortlichen Stelle.
Auf der nächsten Seite geht es um klassische und moderne Datenträger.
Begriff des "Datenträgers"
Unter "Datenträger" ist jedes Medium zu verstehen, auf dem (personenbezogene) Daten gespeichert/festgehalten sind. Der Begriff ist im BDSG zwar erwähnt (siehe § 3 Abs. 4 Satz 2 Nr. 1 BDSG), aber nicht definiert.
Foto: Christian Toepfer
Eine spezielle Form von Datenträgern sind die "mobilen personenbezogenen Speicher- und Verarbeitungsmedien" (siehe § 3 Abs. 10 BDSG), für die in § 6c BDSG inzwischen besondere Regelungen geschaffen wurden (allerdings nicht für ihre Vernichtung). Sie sind dadurch gekennzeichnet, dass sie Daten nicht nur "festhalten", sondern die Daten auf ihnen auch verarbeitet werden können (siehe § 3 Abs. 10 Nr. 2 BDSG).
Unter diese Kategorie fallen also alle Datenträger, die so ausgestattet sind, dass auf ihnen mehr Verarbeitungsvorgänge möglich sind als das bloße Lesen der Daten. Gemeint sind also alle Datenträger mit eigenen Prozessoren, die Daten etwa automatisch erheben können. Solche Anwendungen sind in der Praxis noch eher selten, breiten sich aber aus (vor allem in Form von Chipkarten, die z. B. das Betreten bestimmter Räume speichern).
Für die Frage der Datenträgervernichtung hat die Unterscheidung keine grundsätzliche Bedeutung. Die damit verbundenen Probleme betreffen alle Arten von Datenträgern.
Dieser Artikel entstammt dem "Lexikon für das IT-Recht 2014/2015", das unter www.channelpartner.de/shop erhältlich ist. Die vierte Auflage dieses Buchs richtet sich mit 130 Praxisthemen an Geschäftsführer, Manager und IT-Verantwortliche in Handelsunternehmen ohne eigene Rechtsabteilung. Das Lexikon ist als gedrucktes Buch für 39,95 Euro oder als eBook für 34,95 Euro in unserem Abo-Shop erhältlich.
Klassische und moderne Datenträger
Der "klassische" Datenträger schlechthin ist Papier. Es hat in Zeiten der elektronischen Kommunikation größere Bedeutung denn je, da sehr viel ausgedruckt wird. Typische elektronische Datenträger sind Disketten, CDs, USB-Sticks sowie interne und externe Festplatten.
Nur noch selten vorkommend, aber doch noch vereinzelt anzutreffen sind Karbonbänder und Durchschlagpapiere (letztere etwa im Zusammenhang mit Formularen, die noch handschriftlich ausgefüllt werden). Mikrofiche und Mikrofilme werden nur noch in Spezialanwendungen eingesetzt, doch finden sich noch Altbestände beträchtlichen Umfangs.
Elektronische Datenträger tauchen inzwischen auch dort auf, wo man sie kaum vermutet. So speichern Festplatten in Kopiergeräten oft über lange Zeit jede Kopie, die gefertigt worden ist.
Die Beispiele zeigen, dass eine gründliche Recherche angezeigt ist, um keinen Datenträger zu übersehen.
Regelungen für die Vernichtung von Datenträgern
Datenträger sind dann vernichtet, wenn die auf ihnen enthaltenen Daten gelöscht sind. Unter Löschen versteht das BDSG das "Unkenntlichmachen gespeicherter personenbezogener Daten" (so die Definition in § 3 Abs. 4 Nr. 5 BDSG). Vorhandener Text muss also unlesbar geworden sein bzw. die Zeichen, die Informationsgehalt in sich tragen, dürfen nicht rekonstruierbar sein.
Das in gängigen E-Mail-Programmen wie Outlook so bezeichnete "Löschen" hat damit nichts zu tun. Es bedeutet in der ersten Stufe lediglich, dass Daten in einen "Papierkorb" verschoben werden, dort aber vollständig erhalten bleiben. Selbst beim (angeblich) "endgültigen Löschen" sind die Daten noch physisch auf der Festplatte vorhanden.
Auf der nächsten Seite können Sie mehr über die Sicherheitsstufen bei der Aktenvernichtung erfahren.
Umsetzung der Vorgaben bei der Papier- und Aktenvernichtung
Maßgebend sind hier die Festlegungen der DIN 32757 (zu beziehen beim Beuth-Verlag). Freilich gibt auch diese DIN nur generelle Vorgaben, unter denen nach einer Risikobeurteilung anhand der Sensibilität der Daten eine Auswahl getroffen werden muss.
Dies zeigt nachfolgende Tabelle aus DIN 32757 (Merkblatt mit Stand 15.9.2006, DIN-Vorschrift nach Stand 31.7.2011 unverändert):
DIN-Stufe | Größe nach der Vernichtung | Definition der Sicherheitsstufe | Geeignetes Schriftgut |
1 | Streifenbreite bis 12 mm | Eine Reproduktion ist ohne Hilfsmittel und ohne Fachkenntnis nicht ohne besonderen Zeitaufwand möglich. | Geeignet für allgemeines Schriftgut, das nach Ablauf der Aufbewahrungsfrist unlesbar gemacht werden soll. |
2 | Streifenbreite bis 6 mm, Streifenlänge nicht begrenzt | Eine Reproduktion ist mit Hilfsmitteln und nur mit besonderem Zeitaufwand möglich. | Geeignet für interne Unterlagen, die unlesbar gemacht werden sollen, wie EDV-Listen oder Fehlkopien. |
3 | Partikelbreite bis 4 mm, Partikellänge bis 80 mm oder Streifenbreite bis 2 mm; Fläche bis 594 qmm oder Partikelfläche bis 320 qmm | Eine Reproduktion ist nur unter erheblichem Aufwand (Person, Hilfsmittel, Zeit) möglich. | Geeignet für vertrauliches Schriftgut wie personenbezogene Daten und Dokumente. |
4 | Partikelbreite bis 2 mm, Partikellänge bis 15 mm oder Partikelfläche bis 30 qmm | Eine Reproduktion ist nur mit gewerbeunüblichen Einrichtungen bzw. Sonderkonstruktionen möglich. | Geeignet für geheim zu haltendes Schriftgut, das für ein Unternehmen existenziell wichtig ist. |
5 | Partikelbreite bis 0,8 mm, Partikellänge bis 13 mm oder Partikelfläche bis 10 qmm | Eine Reproduktion ist nach dem Stand der Technik unmöglich. | Geeignet für geheim zu haltendes Schriftgut, wenn außergewöhnlich hohe Sicherheitsanforderungen zu stellen sind, wie bei Regierungsstellen oder in der Grundlagenforschung. |
Die Darlegungen in der Spalte "Geeignetes Schriftgut" stellen eine praktische Anwendung des in § 9 Satz 2 BDSG enthaltenen Grundsatzes dar, dass nur solche Maßnahmen erforderlich sind, bei denen der Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht. Beim Einholen von Kostenvoranschlägen wird man nämlich rasch feststellen, dass der Kostenaufwand von Schutzstufe zu Schutzstufe erheblich ansteigt.
Um nicht erforderliche Ausgaben zu vermeiden, sollte man die Hinweise des BSI zur Auswahl geeigneter Aktenvernichter zu Rate ziehen. Sie diskutieren anhand von Beispielen, dass die Partikelgröße nicht der einzige Auswahlmaßstab sein sollte.
Irritation löst manchmal aus, dass seit einiger Zeit Aktenvernichter mit "Sicherheitsstufe Level 6" angeboten werden. Das ist nach Auskunft des BSI keine neue Sicherheitsstufen bei DIN 32757, die oben dargestellt sind, sondern eine Anforderung der US-amerikanischen National Security Agency (NSA). Dieser Level 6 erfüllt die Anforderungen von Sicherheitsstufe 5 und verlangt nämlich eine noch stärkere Zerkleinerung als diese Stufe.
Technisch ist inzwischen nahezu alles möglich. So gibt es Anbieter, die komplette, gefüllte Leitz-Ordner auf Stufe 5 schreddern. Dies kann mittels mobiler Vernichtungsanlagen auch vor Ort beim Kunden geschehen.
Auf der nächsten Seite geht es um die Vernichtung von elektronischen Datenträgern.
Umsetzung der Vorgaben bei der Vernichtung elektronischer Datenträger
Hierfür existiert die besondere DIN 33858 für magnetische Datenträger. Im Wesentlichen sind drei Ansätze zum Löschen möglich:
Überschreiben vorhandener Daten
Diese Methode eignet sich von vornherein nur für wiederbeschreibbare Datenträger, dagegen zum Beispiel nicht für WORM_Platten (Write Once_Read Many, also ein nur einmal beschreibbarer Datenträger). Ein einmaliges Überschreiben mit einer zufälligen Zeichenfolge genügt niemals. Mehrfach es Überschreiben eines gesamten (!) Datenträgers kann viele Stunden dauern.
Magnetisches Löschen
Die Methode ist brauchbar für Festplatten aller Art (auch für defekte), dagegen z. B. nicht für optische Speichermedien.
Physische Vernichtung des Datenträgers
Diese "Brutalmethode" ist effektiv, kostengünstig und verursacht kaum Zeitaufwand: Festplatten, CDs, Sticks usw. werden geschreddert oder auch geschmolzen. Allerdings müssen Gesichtspunkte des Umweltschutzes berücksichtigt werden.
Eine besondere Gefahrenquelle der Praxis ist der Verkauf oder die kostenlose Abgabe gebrauchter PCs einschließlich der Festplatte: Ohne Festplatte ist der PC weitgehend entwertet, mit Festplatte enthält er noch unzulässige personenbezogene Daten.
Neue Normen ab 2013/2014
Die geschilderte DIN 32757 konzentriert sich sehr stark auf Papiermedien und berücksichtigt kaum die verschiedenen Arten digitaler Datenträger bis hin zu Festplatten. Künftig sollen beide Themenkreise in einer gemeinsamen Norm behandelt werden. Diese neue DIN 66399 "Büro- und Datentechnik – Vernichtung von Datenträgern" gliedert sich in drei Teile:
DIN 66399_1: Grundlagen und Begriffe
DIN 66399_2: Anforderungen an Maschinen zur Vernichtung von Datenträgern
DIN 66399_3: Prozess der Datenträgervernichtung
Sie ist zu beziehen beim Beuth-Verlag. Die neue Norm bedeutet nicht, dass die alten Normen keine Bedeutung mehr hätten. Soweit in Verträgen, beispielsweise in Verträgen über die Vernichtung von Datenträgern, noch auf die bisherigen DIN-Normen Bezug genommen wird, kann es bis auf weiteres dabei bleiben. Erst wenn ohnehin eine Überarbeitung der Verträge ansteht, sollte die neue Norm einbezogen werden.
Auf der letzten Seite geht es um die Datenträgervernichtung durch externe Dienstleister.
Datenträgervernichtung durch externe Dienstleister + Checkliste
Bei der Datenträgervernichtung durch externe Dienstleister handelt es sich um eine Datenverarbeitung im Auftrag (§ 11 BDSG). Daraus folgt, dass ein entsprechender Vertrag schriftlich abzuschließen ist. Ein erfahrener Dienstleister weiß dies und schlägt von sich aus entsprechende Vertragsmuster vor.
Die Änderungen von § 11 BDSG zum 1.9.2009 führten dazu, dass den Auftraggeber zusätzliche Pflichten treffen. Vor allem muss er sich auf geeignete Weise vergewissern, dass der Auftragnehmer die nötige Sorgfalt walten lässt. Wenn möglich sollte der Auftraggeber eine Besichtigung vor Ort vornehmen.
Foto: Jay-Tech
Auswahl eines zuverlässigen Dienstleisters
Datenträgervernichtung wirkt nur auf den ersten Blick banal. Es handelt sich jedoch um Spezialistenarbeit. Dies zeigt sich vor allem auf dem "Weg zur Vernichtung". Stets ist ein Gesamtkonzept nötig, das dort ansetzt, wo die zu entsorgenden Datenträger anfallen (also am Schreibtisch, im Rechenzentrum usw.) nd sowohl die Lagerung wie auch den Transport und die eigentliche Vernichtung der Datenträger regelt. Teils sind auch Umweltschutzvorschriften zu beachten. Es kommen deshalb nur Auftragnehmer mit einschlägigen Referenzen in Betracht. Eine Zertifizierung etwa nach ISO kann ein entscheidungserhebliches Qualitätsmerkmal sein.
Keine Entscheidungshilfe mehr bietet die Registrierung bei einer Datenschutzaufsichtsbehörde. Bis zum BDSG 2001 bestand eine solche Registrierungspflicht für alle Auftragsdatenverarbeiter und damit auch für externe Datenträgervernichtungsdienstleister. Mit dem BDSG 2001 wurde diese Registrierungspflicht abgeschafft. Falls ein Anbieter heute noch damit wirbt, ist Misstrauen angezeigt: Dies kann ein Zeichen dafür sein, dass er Rechtsänderungen nur ungenügend verfolgt.
Checkliste Datenträgervernichtung
a) "Datenträger" ist jedes Medium, auf dem Daten festgehalten werden können, von Papier bis zur Festplatte.
b) Für die Vernichtung von Papier ist DIN 32757 zu beachten, für die Vernichtung von magnetischen Datenträgern DIN 33858. Als europäische Norm tritt EN 15713 hinzu.
c) Die Datenträgervernichtung ist als Löschen personenbezogener Daten im Sinn des Datenschutzrechts anzusehen und muss die entsprechenden Vorgaben beachten.
d) Die Datenträgervernichtung durch einen externen Dienstleister stellt eine Auftragsdatenverarbeitung gemäß § 11 BDSG dar. Der Auftraggeber muss sich sorgfältig vergewissern, dass der Auftragnehmer die übernommenen Pflichten auch wirklich erfüllt. (tö)
Dieser Artikel entstammt dem "Lexikon für das IT-Recht 2014/2015", das unter www.channelpartner.de/shop erhältlich ist. Die vierte Auflage dieses Buchs richtet sich mit 130 Praxisthemen an Geschäftsführer, Manager und IT-Verantwortliche in Handelsunternehmen ohne eigene Rechtsabteilung. Das Lexikon ist als gedrucktes Buch für 39,95 Euro oder als eBook für 34,95 Euro in unserem Abo-Shop erhältlich.